Satoshi Inazawa Technical Solutions Architect – Cyber Security

Satoshi Inazawa Technical Solutions Architect – Cyber Security
Cisco Defense Orchestrator および Cisco Security Analytics and Logging のご紹介 CTU Security 2019 December Satoshi Inazawa Technical Solutions Architect – Cyber Security December 19th 2019

本日のアジェンダ CDOとは（おさらい） Security Analytics and Logging (SAL) ポジショニング
何ができるのか？ Security Analytics and Logging (SAL) ポジショニングロードマップ

Cisco Defense Orchestrator & Security Analytics and Logging
CDOとは？何ができる？ SAL ポジショニングロードマップ © Cisco and/or its affiliates. All rights reserved

今日のネットワークセキュリティ管理はどんどん大変に…

今日のセキュリティ管理のチャレンジ多様なセキュリティデバイスとサービスの組み合わせ異なる管理コンソールとポリシーフォーマット
手動、サイロ化された変更管理プロセス

複雑さに起因するコスト非効率なプロセスによる貴重な時間の消費リソース不足（高度な専門性を持ったスタッフの確保）
時間のロス非効率なプロセスによる貴重な時間の消費リソース不足（高度な専門性を持ったスタッフの確保）セキュリティー侵害につながる一貫性のないポリシーコスト（費用）の増加脆弱なセキュリティ

Cisco Defense Orchestrator (CDO)とは?
クラウドサービス Ciscoの複数のセキュリティデバイスに対して、セキュリティポリシーをシンプルに、一括して管理 CDOによる集中管理の下で、ポリシー管理、設定管理、OSイメージ管理の機能を提供お客様のセキュリティ管理体制を強化し、効率的なネットワークオペレーションを提供主な利点機能セキュリティ管理の合理化セキュリティ管理タスクに費やす時間を大きく削減複雑性を軽減しながら、より優れたセキュリティを実現対応の優先順位付け一貫したセキュリティポリシーのデプロイメント迅速なデバイスのデプロイメントコンフィグレーション管理

CDOサポートプラットフォーム 2019/12現在 Hardware Software ASA 5500-X
ASA FTD 6.4+ Firepower 1000 ASA FTD 6.5+ Firepower 2100 Firepower 4100, 9300 ASA FTD 6.5+ Virtual KVM, VMWare ASAv FTD 6.4+ Virtual AWS, Azure ASAv FTD 6.5+* *Azure Only, AWS coming Meraki MX Supported Now* *L3/L4 Policy Only AWS VPC Supported Now

クラウド管理の利便性マルチテナント新機能実装までの速さセキュリティ重視迅速な価値実現拡張性の高さインテグレーション

データベースや暗号トラフィックへの認証キーを取得するためにOauthトークンを使用
CDO アーキテクチャ: 安全性と柔軟性管理するネットワークデバイスとはTLS1.2を使用してAPI接続顧客 A コンフィグレーションは保管時、および転送時に暗号化認証・認可サーバデータベースへのアクセスにはキーが必要 CDO データセンターロケーション: AWS – US West AWS – US East AWS – EU Central 顧客 B Oauthトークンの取得認証ブラウザ Restコール SAMLベースの2要素認証によるロールベースのアクセス制御を利用して管理アクセスを保護 Oauthトークンの送信データベースや暗号トラフィックへの認証キーを取得するためにOauthトークンを使用顧客 C キーマネージャー

CDOコンポーネント； Secure Device Connector (SDC)
port 443 (https) データセンター管理デバイス Secure Device Connector Message Queue SDCよりCDOに数秒間隔で定期的なポーリング outbound port 443 inbound port 443 SDCからデバイスに定期的なポーリング

Secure Device Connector Secure Device Connector
SDCデプロイメントパターンクラウド SDC オンプレミス SDC 動的IPを利用している SALを利用してイベントを送信したいなど Secure Device Connector インターネットエッジインターネットエッジ Secure Device Connector Mgmt Mgmt Mgmt Mgmt Lightweight VM

具体的にどんなことができるの？日本語対応デバイス管理 FTDのStoS、RA VPN設定可能オブジェクト（グループ含む）の作成・管理
デバイス登録/設定変更/アップグレード/トラブルシューティング etc… オブジェクト（グループ含む）の作成・管理 FWポリシーの作成と管理 FTDマイグレーション StoS VPN接続状況の監視テンプレートを使って新規デバイスを簡単にデプロイ可能。※このタブからはASAのみ。別タブよりFTDもテンプレート利用可能操作ログ、変更履歴 SALのアドオンによりイベントの閲覧、およびSWCと連携したセキュリティ分析が可能。 ※FTDのみ

デバイス登録（Onboarding）管理したいデバイスをクリック ASAｖ/FTDv のインストールおよび CLI ウィザードでの簡易初期セットアップ完了後、CDO とすぐに接続が可能。以降の作業は CDO より可能デバイスを入力デバイスの管理IPを入力ログイン情報を入力

Tokenを使ったデバイス登録 FDM 動的IPの環境でもOnbording可能 CDOでTokenを生成し、FDM経由でFTDにペースト

DEMO　 Time!

ASA から FTD へのマイグレーション Now BETA San Jose Branch

一括アップグレードスケジューリング可能

クラウドならではの実装の速さ！ 2019年7月～10月までのCDOアップデート
簡素化されたオペレーション FTDにおけるトークンベースのクラウドへのダイレクトオンボーディング (Branch, DHCP) DUOを使用したCisco Secure Sign On ASA から FTD へのマイグレーションパラメータ変更可能なテンプレート FTD ライセンス管理広範囲なインテグレーション Cloud based logging (SAL) ※FTDのみ CTRとの連携 Firewall の分析と検知 Meraki MX L3/L4 AWS Security groups管理 Firewall管理の拡張 S2S and RA VPN 管理 ※FTD 冗長構成（HA）管理 HA イメージアップグレード 6.5 サポート 4100 and 9300 サポート ASA time range objects and policies 営業ツール Newデータシート、オーダリングガイド CDO PoV ガイド dCloud live デモ Logging estimator tool 21

ファイアウォールの役割とは？ロギングアクセスコントロールネットワークサービス ACL、IPS、コンテンツ検査、リモートアクセス
ルーティング (スタティック・ダイナミック・ポリシー)、 Network Address Translation (NAT) ロギングトラブルシューティング、アカウント、コンプライアンス

ファイアウォールロギングの今日の課題 FMC によるログと解析サードパーティログ管理製品 - 複数のシステムが生み出す複雑性
- ログ分析なし（主に保管用途） - 保守するVM機器の増加 - 保存量はストレージに依存 + 詳細なデータ + 閲覧しやすい - 解析のための製品連携が煩雑 - 限定的な保存期間 (サイジングに依存)

Cisco Security Analytics and Logging(SAL)とは
高度な分析機能を備えたクラウドベースのロギングによる効果的なポリシー管理ファイアウォールおよびネットワークログをクラウドに安全に保存し、CDOからアクセスおよび検索可能ログを分析し、高忠実度（High-Fidelity）のアラートに識別、強化するインシデントへの対応がよりスマートになり、調査にかかる時間を削減業界最高のセキュリティ分析を使用して侵害検知能力を強化

CDO＆SAL サマリ Cisco Defense Orchestrator Stealthwatch Cloud NGFW オンプレミス
Cisco Cloud Cisco Security Service Exchange(SSE) Network Threat Defense(NTD) ログ閲覧ログ保管・解析 On-pre or Cloud ・Secure Device Connector(SDC) ・Secure Event Connector(SEC) *optional NGFW オンプレミス

Security Analytics & Logging
3種類のパッケージ Cisco Defense Orchestrator Logging & Troubleshooting SSE Firewall Analytics & Detection Cisco Cloud NTD Total Network Analytics オンプレミスネットワーク Stealthwatch Cloud

Logging & Troubleshooting
Cisco Defense Orchestrator NTD経由のログ送信 Event Logs SWCのストレージ利用 CDOによる閲覧 ※Event Logging オンプレミスネットワーク Stealthwatch Cloud Storage

Firewall Analytics & Detection
Cisco Defense Orchestrator Logging & Troubleshooting パッケージ内容 Event Logs NGFWから送信される5タプルデータをテレメトリーとして活用解析用ポータルとしてSWC利用可能オンプレミスネットワーク Telemetry Stealthwatch Cloud Storage

Total Network Analytics
Cisco Defense Orchestrator Firewall Analytics & Detectionパッケージ内容 Event Logs オンプレミスネットワークデバイスの解析 50 SWC Sensor 50エンドポイントライセンスオンプレミスネットワーク Telemetry SWC Sensor Stealthwatch Cloud SWC Sensor 簡単な実装 Storage

CDO & SALのフロー詳細 – FTD と SDC/SEC
FTD Event Storage Stealthwatch Cloud Cisco Defense Orchestrator Cisco Cloud FTD イベント SDC/ SEC FTD コンフィグ Device Switch Router WAN Router Firewall Data Center Switch Server

CDO & SALのフロー詳細 – SDC/SEC と SSE
FTD Event Storage Stealthwatch Cloud Cisco Defense Orchestrator Cisco Cloud SSE Service Deice 登録とCDO URLの取得 FTD イベント SDC/ SEC FTD コンフィグ Device Switch Router WAN Router Firewall Data Center Switch Server

CDO & SALのフロー詳細 – SDC/SEC と NTD
FTD Event Storage Stealthwatch Cloud Cisco Defense Orchestrator Cisco Cloud JSON SSE Service CDO設定 FTD/ASAの自動化 Deice 登録とCDO URLの取得 API NTD Service イベントログ転送 FTD イベント SDC/ SEC FTD コンフィグ Device Switch Router WAN Router Firewall Data Center Switch Server

Cisco Defense Orchestrator
CDO & SALのフロー詳細 – 全体像 CDOがSWCよりEventを取得 SWCポータルへのピボット SWC APIs FTD Event Storage Stealthwatch Cloud Cisco Defense Orchestrator Cisco Cloud JSON or API SSE Service CDO設定 FTD/ASAの自動化 Deice 登録とCDO URLの取得 NTDサービスによってイベントログはJSONフォーマットに変換 API FTD 6.4 SDC (オンプレミスVM) が必要。2つのコネクタで構成: SDCデバイス証明、登録、接続 Secure Events Connector (Syslog Proxy) NTD Service イベントログ転送 FTD イベント SDC/ SEC FTD コンフィグ Device Switch Router WAN Router Firewall Data Center Switch Server

Logging & Troubleshooting from CDO

Firewall Analytics & Detection / Network Total Analytics from CDO
CDOイベントを利用したStealthwatch Cloud上でのセキュリティ解析

Stealthwatch Cloudへピボット
セッショントラフィックの閲覧

脅威の分析アラートの閲覧とアサイン

ALERT: Anomaly detected
ログ解析を元にしたファイアウォールの脅威検知の向上インターネット上の野良DNS ALERT: Anomaly detected インターネットへのSMBコネクションインターネットへの広帯域通信・情報の持ち出し内向きのポートスキャン新規の外部サーバとの接続リスクのある国との通信インターネットからのリモートアクセスの実施・失敗地理情報的な異常リモートアクセス

SAL＋Firepower = トータルネットワーク可視化
ファイアウォールログトラブルシューティングアカウントコンプライアンス限定されたリテンション Security Analytics & Logging イベントログの可視化すぐに利用できる脅威検知パブリック/プライベート、オンプレミス最低90日間のリテンション

Cisco Security Analytics & Logging (SAL) ライセンス
90日間ログ保管 (1、5、10、15、25 GB /日) /テナント注釈 1/3/5年サブスクリプション Lic TA -Total Network Analytics & Detections (SWC UI) ニア・リアルタイムイベント閲覧 – 検索、ソート、フィルタ Logging Service ファイアウォールログにおける行動ベース脅威解析 SWC Analytics for NGFW SWC Analytics for PNM 内部ネットワークに対する拡張行動解析 Logging Service 選択された収集率で90日間のログを保存するために必要な保管容量テナント/顧客おける、CDO管理されたファイアウォール全体で保管領域を共有 SWC Analytics for NGFW 収集率に応じて送信されたログの行動解析を行う SWC Analytics for PNM 1GB/日のNGFWログ収集率毎にPNMの為の50エンドポイントライセンス * PNM : Private Network Monitoring 1/3/5年サブスクリプション Lic FA - Firewall Analytics & Detections (SWC UI) ニア・リアルタイムイベント閲覧 – 検索、ソート、フィルタ Logging Service ファイアウォールログにおける行動ベース脅威解析 SWC Analytics for NGFW シングル PID 1/3/5年サブスクリプション Lic LT - Logging and Troubleshooting (CDO UI) ニア・リアルタイムイベント閲覧 – 検索、ソート、フィルタ Logging Service テナント毎シングル PID シングル PID Cisco Defense Orchestrator (全てのパッケージに必要) ファイアウォール毎 Logging Estimator FW毎シングルPID 1/3/5年サブスクリプション (必須)

Logging Volume Estimator
1日に必要なログ保存量を算出するツール

どのようなケースにCDOがマッチするか? クラウドファースト戦略を検討中のお客様複数のASAを管理しているお客様
今後ASAからFTDの移行を検討しているお客様 ASA、NGFW（FTD）、Meraki MXを含むシスコネットワークセキュリティ製品が複数存在しているお客様ロギングと脅威分析の要件があるお客様 Page 44

どのマネージャーがお客様環境に適しているのか?
FMC CDO FDM マネージャーロケーションオンプレミスクラウドオンデバイスマネージャータイプマルチデバイスマルチデバイスマルチプラットフォームシングルデバイスどこにフォーカスしているか？ SecOps NetOps 簡素化された NGFW管理サポートプラットフォーム NGFW, NGIPS NGFW, ASA, MX, AWS VPC NGFW 複数のプロダクトに跨るポリシー共有イベンティング FMC, Syslog, Estreamer, CTR Syslog, Cloud Logging, CTR FDM, Syslog, CTR

NGFWv running in public cloud
CDOユースケース Use case Managers of choice Details インターネットエッジ CDO or FMC ネットワーク管理者のためにCDOの使いやすさ, SALでのロギングと脅威分析をアピール高度なセキュリティ分析をしたければFMCをどちらの優先度が高いかをお客様に確認する支店/分散拠点 CDO FTDs でトークンを使ったロータッチプロビジョニング SALでのロギングと脅威分析 SME/ リテール CDO or FDM FDM または CDOによりより優れたユーザビリティを提供複数導入予定の場合にはCDOを推奨 Data center Edge / Core / Campus fabric FMC FMC supports advanced security analytics, clustering, TrustSec NGFWv running in public cloud FMC supports NGFWv in AWS and Azure NGIPS FMC supports all the advanced IPS features, and provides a separate interface from the Firewall

CDOロードマップ簡素化されたオペレーション Firewall管理の拡張ポリシーオーケストレーション広範囲なインテグレーション
FTD ヒットカウント更新された変更ログの保持広範囲なインテグレーション Meraki ネイティブオブジェクトサポート SAL & CTRへのダイレクト送信 VPN作成のためのUmbrella/SIGサポート Firewall管理の拡張 AnyConnect イメージ管理トラブルシューティングのための FTD CLIサポート追加の S2S VPNオプションサポートポリシーオーケストレーションルールセット Objects上書きルールのCopy / paste機能拡張 AMP file policy 48

SALロードマップ 90日以上のコールドストレージ対応
Stealthwatch Cloud PortalでのIPSやMalwareイベントの取り込みと解析追加予定のイベントをベースとした新しいアラートコネクションイベントからの新しいフィールドの活用 (認証済ユーザ, ドメイン名, URL, App-ID) ASA とMerakiに対するSALサポート検討

CDO 30日間無料トライアルのご案内

SAL 30日間無料トライアルのご案内 CDO利用が前提（ない場合にはCDOのトライアル申請が先）
CDOより監視 > Event Loggingから申請 ※本トライアルで利用できるのはLTのみ。（Event only） SWCを利用したい場合には別途営業までご相談ください。

関連コンテンツマニュアル ※CDO、SALともにオーダリングガイド dcloud instant demo
オーダリングガイド CDO： SAL： dcloud instant demo Cisco Defense Orchestrator v2 - Instant Demo demo?returnPathTitleKey=content-view&isLoggingIn=true

Satoshi Inazawa Technical Solutions Architect – Cyber Security

Similar presentations

Presentation on theme: "Satoshi Inazawa Technical Solutions Architect – Cyber Security"— Presentation transcript:

Similar presentations

About project

フィードバック

ログインする

Auth with social network:

Satoshi Inazawa Technical Solutions Architect – Cyber Security

Similar presentations

Presentation on theme: "Satoshi Inazawa Technical Solutions Architect – Cyber Security"— Presentation transcript:

Similar presentations

About project

フィードバック